java - 如何修复 JMX 中的 java 序列化漏洞?

标签 java security serialization rmi jmx

https://github.com/frohoff/ysoserial

是一个概念验证工具,用于生成利用不安全的 Java 对象反序列化的有效负载。它还可以与 JMX 配合使用。

有什么方法可以保证 JMX 的安全吗? 我还读过https://tersesystems.com/2015/11/08/closing-the-open-door-of-java-object-serialization/ 。我不明白如何在我的项目中使用 NotSoSerial。

最佳答案

您可以通过从 github 构建项目来运行 NotSoSerial,然后获取 jar 并在命令行上使用以下参数运行 JVM:

-javaagent:notsoserial.jar -Dnotsoserial.whitelist=empty.txt

https://github.com/kantega/notsoserial#whitelisting-mode 中指定

如果您想使用 JMX 但不想使用 RMI(它使用 Java 序列化),请查看 jmxtrans 或 Jolokia,看看如何最好地锁定通过那里传递的 JSON 消息。

关于java - 如何修复 JMX 中的 java 序列化漏洞?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37343567/

上一篇:javascript - 如何通过 Json 将 Java 方法调用到 JavaScript 中?

下一篇:java - 如何用类似的东西包装方法(以 hibernate 为例)

相关文章:

c# - 在 WCF 中使用 Windows 身份验证类型时,用户名和密码是否以纯文本形式发送?

java - netty 套接字 io CORS 错误 : Access-Control-Allow-Origin

java - JRuby 和 Java 对象

java - 即使在 jsp 中,.jspf 也无法编译

javascript - 配置文件: JS vs INI

linux - 使用目录遍历攻击执行命令

java - 使用 musicbrainzws2-java 查找各种轨道的 mbid

java - 为什么 Jackson 序列化到 XML 中的命名空间结构不正确

iphone - 如何在 iPhone sdk 中序列化一个简单的对象?

c++ - Cereal 不支持原始指针

©2024 IT工具网  联系我们